30年以上前から存在しているランサムウェアを、「想定外」の脅威だと呼ぶわけにはいかないだろう。それでも依然として多くの組織が、規模の大小を問わず、ランサムウェアの攻撃を受けて驚き、ランサムウェアを除去するためにゼロからシステムを再構築したり、復号鍵を手に入れようと、犯罪者に身代金を支払ったりしている。私たちはなぜ、過去にランサムウェアの被害を受けた組織から教訓を学べないのだろうか。それにはいくつかの理由がある。
自分が被害に遭うとは想像していない
これは根本的な問題の1つだ。多くの企業はランサムウェアの脅威を認識しているが、自社が被害に遭うとは思っていない。「うちのような小さな目立たない会社」が、サイバー犯罪者の目にとまるわけがないと思っている場合もあれば、「うちは十分に対策しているので大丈夫」だと考えている場合もある。しかしそのどちらも、正しいとは言えない場合が多い。そもそも、ランサムウェア攻撃の中には、マルウェアを仕組んだ電子メールを無差別に送りつけるものがある。攻撃の足がかりを探して、インターネットに露出しているあらゆるポートをスキャンする場合もある。いずれにしても、規模とは関係なくあらゆる企業がターゲットになり得る。では、自分たちの対策は十分だと考えている大企業はどうだろうか?実は、大きな組織がランサムウェア攻撃の被害を受ける例は珍しくない。これは、十分な経費と時間をかけて、長期戦で挑んでくる攻撃グループが存在するためだ。
セキュリティの基本が無視されている
世の中の記事やレポートでは、ランサムウェア攻撃を行っている犯罪者が、非常に技術力が高い組織として描かれている例も多い。実際、極めて高度な技術を備えているグループもある。しかし実は、多くのランサムウェア攻撃は、比較的簡単な対策で防ぐことができる。ソフトウェアにパッチを適用して最新の状態に保つことも、基本の1つだ。大きな問題になっているランサムウェアの中には、拡散の仕組みにかなり古い脆弱性を利用しているものもある。これらの脆弱性を修正するパッチは簡単に入手できるのだが、いまだに対策を取っていない企業が多く残っている。ソフトウェアにパッチを適用する作業は面倒で、時間とコストがかかる場合もある一方、目に見えるメリットは少ないかもしれない。しかし、ランサムウェアの攻撃を受けて、すべての顧客データベースを再構築する羽目に陥るよりは、ずっとましなはずだ。
